オペレーティングシステムのコマンドインジェクション

critical Web App Scanning プラグイン ID 98123

概要

オペレーティングシステムのコマンドインジェクション

説明

OS のコマンドインジェクションは、ユーザー指定の入力が、オペレーティングシステムによって実行されるコマンドを形成するために使用される場合に発生します。

スキャナーは、特定のオペレーティングシステムコマンドを注入し、そのコマンドからの出力をサーバーの応答に含めることができました。これは、入力が適切にサニタイズされていないことを示しています。

ソリューション

OS が実行するコマンドを作成する際には信頼できないデータを使用しないようにすることをお勧めします。
データを検証するアプリケーションは、指定された値に、必要なアクションを実行するのに必要な文字のみが含まれていることを確認する必要があります。

参考資料

http://projects.webappsec.org/w/page/13246950/OS%20Commanding

https://www.owasp.org/index.php/OS_Command_Injection

プラグインの詳細

深刻度: Critical

ID: 98123

タイプ: remote

ファミリー: Code Execution

公開日: 2017/3/31

更新日: 2024/2/2

スキャン テンプレート: api, full, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

Base Score: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: Tenable

参照情報